批量管理工具:
(1)ansible 操作简单(适用于500台以下服务器)
(2)saltstack 比较复杂(一般适用于1000-4w台服务器)
(3)puppet超级复杂
systemctl(统一管理命令)
chkconfig、service等的功能都被systemctl替代
# system stop iptables.service(7.5版的防火墙是firewalld,企业中一般不用firewalld,直接关闭 # systemctl stop firewalld)
#enable disable(开启或关闭服务的开机自启动)
# stop start (立即开启或关闭服务)
# status(状态)
# systemctl stop firewalld(关闭防火墙服务)
# systemctl disable firewalld(关闭防火墙服务的开机自启动)
# systemctl stop NetworkManager(用来代替网卡的配置文件,管理网络,优先级高过配置文件,但是有事会出现网卡换了个IP,但重启以后未生效,就是这个服务造成的,还会导致IP 掉线)
# systemctl disable NetworkManager
部署环境时的设置
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# systemctl stop NetworkManager
[root@localhost ~]# systemctl disable NetworkManager
安装和yum有关的所有yum源
# yum -y install epel-release
ansible特点:
通过一台管理机远程批量操作多台(500以下),无需客户端(saltstack需要安装客户端),基于Python,ansible利用ssh通道(操作要进行免密钥)
生产环境中ansible管理服务器是直接连接超级用户的,需要做很多安全处理
(1)修改ssh登录
# vim /etc/ssh/sshd_config
17行 Port 22端口改为1万以上
38行PermitRootLogin yes改为no 设为禁止超级用户远程登录(最后改动,避免掉线)
43行PubkeyAuthentication yes 默认开启,否则密钥验证就会失效
47行AuthorizedKeysFile .ssh/authorized_keys 公钥文件的位置
65行PasswordAuthentication yes 是否开启密码验验证登陆(最后设置)
79行GSSAPIAuthentication yes 是否关GASSPI认证
115行UseDNS yes 改为no 关闭DNS反向解析,提高ssh解析速度
# vim /etc/ssh/ssh_config
将StrickHostKeyChecking 的no改为yes
修改完配置文件后重启,用普通用户登录
创建普通用户
# useradd yunjisuan
客户端创建密钥,传递公钥连接到服务端的超级用户(将原公钥删除),将客户端的私钥放到xshell中,用免密方式导入到客户端,连接登录到服务端
# scp ~/.ssh/id_rsa.pub 192.168.214.144:/home/yunjisuan
(现在已经使用密钥登录服务端了)
此时修改sshd的配置文件,将第65行的PasswordAuthentication的yes改为no
重启配置文件后,已经不能使用密码登录了,必须使用私钥才能登陆
(2)设置xshell私钥登录linux
# cd .ssh
# cp authorized_keys /home/yunjisuan
# mkdir -p .ssh
# chmod 700 .ssh
# mv authorized_keys .ssh/
# chown -R yunjisuan.yunjisuan .ssh
新建xshell会话框,ip为客户端IP地址,用公钥登录普通用户
(3)用户权限策略
(a)给普通用户设置权限,visudo(在root端)
yunjisuan ALL= NOPASSWD:ALL
(b)查看用户授权情况
# sudo -l
(c)# sudo su -
提权到超级用户
(d)修改/etc/ssh/sshd_config的配置要求(在root端)
重启后(#systemctl reload sshd),登录普通用户,更改端口号,再sudo su - 连接超级用户
(1)配置ansible管理服务sudo审计日志
开启sudo日志
# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf
# echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
测试sudo日志记录
[root@ansible ~]# exit
登出
[yunjisuan@ansible ~]$ sudo su -
[sudo] yunjisuan 的密码:
上一次登录:日 9月 9 21:40:11 CST 2018pts/0 上
查看/var/log/sudo.log日志
[root@ansible ~]# cat /var/log/sudo.log
Sep 9 21:49:12 : yunjisuan : TTY=pts/0 ; PWD=/home/yunjisuan ; USER=root ;
COMMAND=/bin/su -
(5)安装ansible
# yum -y install epel-release
[root@ansible ~]# yum -y install ansible
[root@ansible ~]# ansible --version
(2)配置主机清单
# > /etc/ansible/hosts
# vim /etc/ansible/hosts
[nginx](模块名)
WebA ansible_ssh_host=192.168.214.123 (Web服务器的名字+IP地址)
WebB ansible_ssh_host=192.168.214.124 ansible_ssh_pass=666666
若已设置免密钥,配置完毕
ansible_ssh_host:被管理主机IP
ansible_ssh_user:被管理主机用户名
ansible_ssh_pass:被管理主机用户的登陆密码
ansible_sudo_pass:被管理主机用户sudo时的密码
(3)设置SSH免密钥登录
# ssh-keygen
# ssh-copy-id 192.168.214.140
# ssh-copt-id 192.168.214.145
(7)Ansible服务器简单的综合安全管理策略
(1)禁止非root用户查看Ansible管理服务器端/etc/hosts文件
# chmod 600 /etc/hosts
(2)禁止非root用户查看Ansible的主机清单配置文件
# chmod 600 /etc/ansible/hosts
Ansible的基础应用
Ansible可以使用命令行的方式进行自动化管理。命令的基本语法如下所示:
ansible <被操控的主机或主机组或all> [-m 模块名] [-a 具体命令]
# ansible Web01 -m command -a 'uptime'
主机组名====> /etc/ansible/hosts里设定的nginx,apache,web
主机名====> Web01,Web02
all ====>/etc/ansible/hosts里设定的所有主机
模块名====> command,cron,shell,file等
(1)ping模块
作用:检测指定主机的连通性
格式
# ansible 被管理范围 -m 模块 -a 具体命令
# ansible WebA -m ping (分发单主机WebA的信息)
# ansible nginx -m ping (分发模块(主机组)下的信息)
# ansible all -m ping (分发所有被管理的主机信息)
(2)command模块
在远程主机执行命令,不支持管道符和重定向等复杂命令,可完全被shell模块替代
# ansible Web01 -m command -a 'uptime'
(3)shell模块
可以在被管理主机上运行命令,并支持像管道符重定向这样的复杂命令
# ansible Web01 -m shell -a 'echo 123123 | passwd --stdin yunjisuan'
在所有被管理的主机的/etc/hosts文件里添加Ansible管理服务器的IP地址映射
ansible all -m shell -a 'echo "ansible 192.168.200.183" >> /etc/hosts'
(4)cron模块
cron模块用于定义任务计划。主要包括两种状态(state)
crontab时间周期: (若哪个不写就是默认*号,都不写默认5个*号)
minute:分钟
hour:小时
day:日期
month:月份
weekday:周期
crontab任务:
job:指明运行的命令是什么
crontab任务描述:
name:定时任务描述(定时任务清除的依据)
state状态:
present:表示添加(省略状态时默认使用);
absent:表示移除;
crontab任务的用户身份:
user:指定定时任务以哪个用户身份执行
添加定时任务计划,在所有被管理的主机里每十分钟输出hello字符串,定时任务描述为test cron job
# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job"'
删除描述为test cron job的定时任务
# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job" state=”absent”'
若不成功,用下面的命令去执行
# ansible all -m shell -a 'crontab -r'
给Web01服务器上的普通用户yunjisuan添加一个定时任务
# ansible Web01 -m shell -a 'id yunjisuan'
# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan"'
# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan" state="absent"'
# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
(5)copy模块
copy模块用于实现文件复制和批量下发文件。其中使用src来定义本地源文件路径;使用dest定义被管理主机文件路径;使用content则是使用指定信息内容来生成目标文件
复制时,被管理主机下写具体文件名,可用来改名字
Backup=yes 表示备份,覆盖文件的同时,备份一份
将本地的/etc/hosts文件拷贝到所有被管理的主机的/etc/hosts路径下覆盖同名文件,并指定属主和权限,若拷贝的文件与目标文件内容不同,则备份目标文件再覆盖。
# ansible all -m shell -a 'tail -1 /etc/hosts'
# echo "web01 192.168.200.184" >> /etc/hosts
# ansible all -m copy -a 'src=/etc/hosts dest=/etc/hosts owner=root mode=640 backup=yes'
# ansible all -m shell -a 'ls /etc/hosts*'
# ansible all -m shell -a 'tail -1 /etc/hosts'
将本地/tmp/test.sh的脚本复制到远程主机上并远程激活
(6)script模块
可以将本地脚本复制到被管理主机的内存中并运行,不会在被管理主机中留下脚本文件
编写一个脚本,然后通过ansible的script模块远程向被管理主机执行此脚本(直接显示脚本的内容执行结果)
# echo 'echo "1111" >> /tmp/test' >> /tmp/test.sh
# cat /tmp/test.sh
echo "1111" >> /tmp/test
# ansible all -m script -a '/tmp/test.sh'
Scp+ssh与script区别
scp+ssh的脚本在对方用户,远程激活也是在对方用户
Script模块是把本地的脚本不留痕迹的激活在对方的内存里
(7)yum模块
利用yum模块安装软件包,虽然能被shell模块替代
但是用yum模块更显专业一些
软件包名:
name:指定软件包的名字
state状态:
present:安装软件包(默认就是这个)
absent:卸载软件包
(8)service模块
利用service模块管理服务程序,虽然能被shell模块替代
但是用service模块更显专业一些
服务名称:
name:指定服务的名字
state状态:
started:启动服务
stopped:停止服务
restarted:重启服务
reloaded:平滑重载
enabled开机自启动:
true:设置开机自启动
false:设置开启不启动
#启动firewalld并设置开机自启动
[root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=started enabled=true'
#关闭firewalld并设置开机不启动
[root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=stopped enabled=false'
(9)user模块
用户管理模块。管理用户账号
指定用户名
name:指定操作的用户的名字
用户描述
comment:指定用户的描述信息
createhome:是否创建家目录
uid:指定用户的uid号
groups:指定用户的附加组(默认创建和用户名相同的组)
password:指定用户的密码
update_password:更新用户的密码
shell指定用户的登陆方式
(1)/bin/bash:能登录系统
(2)/sbin/nologin:不能登录系统
home:指定用户的家目录路径
state状态:
(1)present:创建用户(默认就是这个)
(2)absent:删除用户
remove:当指定state=absent时,确认是否删除用户家目录
(1)true
(2)false
在Web02上创建一个普通用户yunjisuan,并设置用户的密码为123123
[root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan comment="welcom to yunjisuan" uid=1066 groups=wheel password=123123 shell=/bin/bash home=/home/yunjisuan'
利用ansible的user模块状态用户时要注意在password参数的后边添加密文,否则不能登陆用户,需要通过Python的pip程序安装passlib即可为密码加密
安装Python2的pip工具,并通过pip工具安装Python的加密模块来给密码加密
[root@ansible ~]# yum -y install epel-release
[root@ansible ~]# yum -y install python2-pip
[root@ansible ~]# pip install passlib
#删除之前创建的yunjisuan用户,并删除它的家目录
[root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan state=absent remove=true'
继续在Web02上创建yunjisuan用户
ansible Web02 -m user -a 'name=yunjisuan comment="welcom to yunjisuan" uid=1066 groups=wheel password=$6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1 shell=/bin/bash' home=/home/yunjisuan'
(10)setup模块
查看被管理主机的facts(facts是Ansible采集被管理主机设备信息的一个功能)。每个被管理主机在接收并运行管理命令之前,都会将自己的相关信息(操作系统版本,IP地址等)发送给控制主机
查看远程主机的facts信息
[root@ansible ~]# ansible Web01 -m setup | head
修改主机名
(1)临时修改主机名
# hostname
(2)永久修改主机名
# vim /etc/hostname
修改服务启动和开机自启动用systemctl修改
(1)开启/关闭服务用start/stop
(2)开启/取消开机自启动 用enable/disable
防火墙firewalld
克隆机必关服务
# systemctl stop firewalld
# systemctl disable firewalld
# systemctl stop NetworkManager
# systemctl disable NetworkManager